FBI Rings Organizers Higit sa Defcon Contest

Mga organizer ng Paligsahan ay tinawag ng Federal Bureau of Investigation ng US at nakita ang mga babala na inisyu ng mga grupo ng seguridad at Financial Services Information Pagbabahagi at Pagsusuri ng Center, (FS-ISAC) isang grupo ng industriya na nagbibigay ng impormasyon tungkol sa mga banta sa seguridad na nakakaapekto sa industriya ng pagbabangko.

"Ang mga kuwento na nakakakuha ako ng maraming pinansiyal na tao ay talagang nag-aalala na kami ay magiging pag-target sa personal na impormasyon at mga bagay na tulad nito, "sabi ni Chris Hadnagy, ang operasyon manager na may Nakakasakit Security, na nag-aayos ng paligsahan. Ang mga pag-aalala ay walang batayan, sabi niya.

[Karagdagang pagbabasa: Paano tanggalin ang malware mula sa iyong Windows PC]

Sa susunod na tatlong araw na kalahok ay susubukan ang kanilang makakaya upang makuhit ng data mula sa isang hindi nakilalang listahan ng mga 30 na kompanya ng U.S.. Ang paligsahan ay gaganapin sa isang silid sa Riviera hotel sa Las Vegas na nilagyan ng soundproof booth at isang tagapagsalita, kaya madidinig ng madla ang mga kumpanyang tumatawag sa mga manlalaro at sinubukan na mag-usapan kung anong data ang maaari nilang makuha mula sa mga hindi napapahalagahang empleyado.

Ang social engineering: ang sining ng pag-tricking ng mga tao sa pagbubunyag ng impormasyon at paggawa ng mga bagay na hindi nila dapat gawin.

Ang mga organizer ng kumperensya ay kailangang maglakad ng isang mahusay na linya sa pagpapatakbo ng isang paligsahan na nakatutok sa mga real-world na mga target. Ngunit pagkatapos ng pagkonsulta sa mga abogado ng Electronic Frontier Foundation, nakagawa sila ng isang hanay ng mga panuntunan sa paligsahan at - mas mahalaga - isang listahan ng do-not-do.

Ang mga Contestante ay hindi maaaring humingi ng sensitibong data o mga password. Hindi nila maaaring gawin ang kanilang mga biktima na parang nasa panganib sila. Hindi sila maaaring magpanggap na maging tagapagpatupad ng batas o sa pangkalahatan ay gumawa ng anumang bagay na nararamdaman ng mali. "Kung may isang bagay na tila hindi tama - huwag gawin ito Kung mayroon kang mga katanungan, magtanong sa isang hukom," ang mga tuntunin ng estado.

Ano ang maaaring gawin ng mga kalahok ay mangolekta ng data sa mga hindi gaanong sensitibong mga paksa tulad ng, "sino ang nag-aalis ng iyong dumpster; na nag-aalaga ng iyong papel na pag-aalis, "sinabi ni Hadnagy.

Ang nagwagi ay pipiliin ng mga hukom, batay hindi lamang sa dami ng data na nakolekta, kundi pati na rin sa pangkalahatang kahusayan ng trabaho sa social engineering, sinabi niya. Unang premyo: isang iPad.

Ang mga kompanya ng seguridad ay madalas na nagbibigay ng berdeng ilaw upang gamitin ang mga diskarte sa panlipunan engineering laban sa kanilang mga kliyente bilang isang paraan upang masubukan kung ano ang maaaring mangyari sa isang insidente sa real-mundo at kilalanin ang mga kahinaan. Sa mga pagsusulit na ito, ang mga eksperto sa seguridad ay madalas na subukang mag-sneak sa mga secure na lugar o lansihin ang mga empleyado sa pagbibigay ng mga password sa phishing na e-mail, mga bagay na ipinagbabawal sa paligsahan.

Ang pangunahing tool ng Defcon contestant ay ang telepono. Ang mga manlalaro ay pinahintulutang gumawa ng pagmamanman sa kilos ng Internet sa kanilang mga target, at makakakuha sila ng 20 minuto sa booth ng telepono upang tawagan ang mga target na kumpanya at subukan ang kanilang pag-atake.

Nakikita ni Hadnagy ang paligsahan bilang isang eksperimento, ng mga uri, at mga plano na ipagsama isang ulat na pinag-aaralan kung ano ang mangyayari. "Sinimulan namin ito upang itaas ang kamalayan para sa sosyal na engineering at magbigay ng isang lugar upang malaman kung ano ang gumagawa ng isang mahusay na social engineer," sinabi niya. "Ang pinakamadaling ruta sa isang kumpanya ay pa rin ang mga tao."

Noong nakaraang buwan ang FS-ISAC ay nagbigay ng babala tungkol sa paligsahan, na ipinadala ni Hadnagy sa kanyang blog. "Ang mga institusyong pampinansyal ay dapat magkaroon ng kamalayan sa paparating na paligsahan, at dapat na ipaliwanag ang kanilang mga tauhan, lalo na ang mga call center at mga legal na departamento tungkol sa kaganapang ito," ang mga advisory states.

Sa parehong panahon, nakuha ni Hadnagy ang tawag mula sa Cyber ​​Division ng FBI. "Mayroon silang mga katanungan tungkol sa kung ano talaga ang layunin namin at kung ano ang ginagawa namin at kung ano ang aming mga layunin sa paligsahan," sabi niya. Ipinasa niya ang mga patakaran ng paligsahan sa FBI. "Kapag ako ay dumaan na sa pamamagitan ng sa kanila … Sa tingin ko na tumigil ng maraming pag-aalala ng pamahalaan," sinabi niya.

Sinabi ng tagapagtatag ng Defcon na si Jeff Moss na Huwebes na siya ay humarap ng ilang mga katanungan, kabilang ang isa mula sa FS-ISAC.

Hindi sila kailangang mag-alala. Ang mga kumpanya ng target ay nagmumula sa sektor ng teknolohiya at iba pang mga industriya, ngunit walang anumang pinansiyal, pangangalagang pangkalusugan, pang-edukasyon o mga samahan ng pamahalaan, sinabi ni Hadnagy.

Robert McMillan ay sumasakop sa seguridad sa computer at pangkalahatang teknolohiya ng breaking balita para sa

The IDG News Service. Sundin si Robert sa Twitter sa @bobmcmillan. Ang e-mail address ni Robert ay [email protected]